Este fin de semana, el protocolo DeFi Hundred Finance fue hackeado por más de 7 millones de dólares. El año pasado, el proyecto también sufrió un ataque similar
Hundred Finance sufre un hackeo en Optimism
El protocolo de préstamos y empréstitos multicadena Hundred Finance (HND), sufrió un hackeo este fin de semana, lo que supuso una pérdida de unos 7,4 millones de dólares.
El hackeo tuvo lugar en Layer 2 Optimism (OP), y aunque los equipos del protocolo han llamado «no sobre cómo se ejecutó el ataque» ya que estaban preparando un análisis, la firma de seguridad blockchain CertiK ya ha investigado el asunto.
Esto se debería a una manipulación de la fórmula de cambio entre WBTC y hBTC, siendo los hTokens la prueba de depósito que se recibe al proporcionar liquidez en el protocolo. Al añadir artificialmente grandes cantidades de WBTC al contrato inteligente, el precio cambia y esto permitió al atacante retirar más de lo que le correspondía como explicó CertiK en su hilo:
CertiKSkynetAlert @HundredFinance el atacante manipuló el tipo de cambio entre tokens ERC-20 y htokens lo que le permitió retirar más tokens de los que había depositado inicialmente. Las pérdidas estimadas de este ataque rondan los 7,4 millones de dólares.
¡Mantente alerta! https://t.co/1hxAnFoNjj
– CertiK Alert (@CertiKAlert) 15 de abril de 2023
Además, Hundred Finance ha invitado a los afectados en el hackeo residentes en Estados Unidos, y en particular en el estado de Nueva York, a ponerse en contacto. Sin embargo, aunque se especula con una posible compensación, los motivos de esta petición no se han hecho públicos:
Si alguien afectado por el hackeo es de EE.UU., específicamente de NY, por favor, póngase en contacto, dm esta cuenta o uno de los miembros del equipo en Discord. Gracias.
– Hundred Finance (@HundredFinance) 16 de abril de 2023
Segundo ataque en 13 meses
No es la primera vez que Cien Finanzas sufre un hackeo. En marzo de 2022, el protocolo fue atacado por ETH 2.363, o 6,2 millones de dólares en ese momento. Este episodio tuvo lugar en la cadena Gnosis (xDAI).
Además, parece que el fallo del que hablamos hoy es común a otros protocolos, ya que el código de Hundred Finance es en realidad un fork de Coumpound V2. Como tal, el equipo del proyecto ha invitado a los forks similares a ponerse en contacto con ellos para discutir la vulnerabilidad:
Si eres un fork de Compound V2 y nosotros o nuestros amigos aún no estamos en contacto contigo, por favor, ponte en contacto con nosotros para que podamos compartir la información sobre el hack, ya que se trata de un fallo general en el código y no específico de la implementación de Hundred.
Gracias
– Hundred Finance (@HundredFinance) April 16, 2023
Al mismo tiempo, HND, el token de Hundred Finance, se ha desplomado por completo. Mientras que antes de los acontecimientos cotizaba a 0,043 dólares, en el momento de escribir estas líneas se encuentra a la mitad, a 0,021 dólares.
Aunque las cantidades implicadas pueden parecer relativamente pequeñas en comparación con otros ataques en el ecosistema de las finanzas descentralizadas (DeFi), cabe señalar que el protocolo sólo reclama 10,5 millones de dólares en depósitos. Dependiendo del giro de los acontecimientos, podría ser difícil para el proyecto recuperarse.